参考架构:Citrix分析
观众群
这份文件面向技术专业人员、IT决策者、合作伙伴和系统集成者文档还允许管理员探索并采行Citrix分析服务Citrix分析通过高效监控风险因素增强组织Citrix环境安全阅读者需要基本理解Citrix组合产品和解决方案
目标文件
文档覆盖Citrix分析服务技术概述、架构概念和能力文档中包含自定义解析法 以及其他Citrix解析法 帮助管理员和用户理解并应用Citrix环境
智能威胁检测和减缓
今日时代,各组织更关心信息安全隐私问题,许多组织正在环境内打全局最佳防御安全解决方案的赌注。新兴技术之一是智能威胁检测平台平台帮助许多组织汇总、关联分析来自不同源头的威胁数据,以采取相关防御行动
动态IT环境威胁因素不断变化,以公共和私营组织为重点的高级威胁以更快速度增长组织需要完全安全解决方案,缓解并遇上危险行为解决方案保护组织知识产权、敏感信息和金融数据
机器学习人工智能
许多组织都面临(并持续面对)各种网络攻击入侵者使用自动化脚本攻击并增加速度和规模组织必须减少并能够实时以CPU速度响应以对抗这类攻击机器学习人工智能可帮助和帮助组织有效反击攻击并搭建防墙
机器学习和人工智能提高IT环境安全性员工错误可减轻和减少机器学习和人工智能在风险分析、反磁盘检测和异常检测方面有帮助
人工智能可用于区分环境正常行为和异常行为机器学习可用来识别这些行为,为后台网络和软件应用提供层安全机器学习使用存储日志/记录并学习分析预测未来数据
前图描述概念机器学习平台通常机器学习平台满足分析数据采集点输入数据(数据源)后期阶段,它根据应用类型划分数据平台持续更新模型和剖面图 基于数据和结果机器学习技术以多种方式应用,这些方式与需求相关
通过对大规模数据集应用机器学习技术,组织可提高威胁情报编译和威胁调查效率以这种方式,各组织可更加主动地处理安全威胁和关注问题。
Citrix分析简介
多组织正面临着来自世界各地的网络威胁实时识别内幕威胁具有挑战性,因为它可能比外部威胁更具破坏性。标准分析往往无法在系统严重受损前暴露这些威胁组织必须采用用户行为分析主动安全洞察力标准分析解决方案主要侧重于安全,分辨率不提供用户会议可见度和用户活动信息IT团队最终失去对IT环境性能和操作的控制
Citrix开发出全套解决方案 遍历Citrix产品组合Citrix分析器收集Citrix组合产品和第三方产品的数据Citrix分析允许管理员检测、分析并主动应对Citrix环境的安全威胁
Citrix分析工具使管理员能够处理用户应用安全威胁,提高应用性能并支持持续操作Citrix分析工具提供云服务
Citrix分析提供
安全分析
安全分析为用户和应用行为提供可见度管理员可以区分正常行为和恶意攻击者内建机器学习平台主动识别并管理内外部威胁
性能分析
性能分析为全组织用户会议细节提供可见性分析引擎收集的度量帮助识别用户登录时出现的问题
运算分析
运算分析提供用户活动信息,例如访问网站和带宽耗用从数据源接收的度量帮助监控网络并采取纠正行动
前图描述Citrix分析服务,即云服务跨Citrix组合产品和第三方产品工作收集不同数据源的数据并检测用户或任何其他实体的异常行为进程使用机器学习算法持续监控客户环境
数据治理和数据源
数据治理提供日志收集、存储和保留信息,并保护分析服务收集的数据安全管理员可选择日志监测并基于登录活动采取有代表性的行动
多数组织对单个应用或分支有某种形式的数据治理数据治理是项目实施期间执行的一项基本任务。数据治理涵盖的强制题少之又少:
- 数据源
- 数据隐私
- 数据传输
- 数据控制
- 数据保留
- 数据存储
- 数据质量和类型
引用 :数据治理
数据源
数据源服务向Citrix解析服务运行云或假设位置 成为Citrix分析数据源
Citrix云上运行的服务,包括内容协作端点管理与Citrix云账号相关联,由Citrix分析自动发现内置服务如Citrix网关和Citrix虚拟应用和桌面可添加为Citrix分析数据源
前图显示外部数据源,如微软图安全化和微软活动目录Citrix分析成功整合后从外部数据源获取数据
引用 :数据源
技术概念
本节讨论Citrix分析提供架构和服务
Citrix组合产品Citrix分析
Citrix分析可与多Citrix和微软产品合并收集用户、应用点、端点、网络和数据指标,以提供用户行为的全面洞察力Citrix分析技术自今日起支持下列产品:
- Citrix安全私用
- Citrix内容协作
- Citrix网关
- Citrix虚拟应用和桌面
- Citrix端点管理
Citrix分析生成全网络用户应用剖面配置文件仅有可能从数据源收集信息/数据(用户行为信息)。剖面图包含设备、文件、位置等信息为了减轻网络威胁,分析生成模式高可见度并采取必要行动服务为环境用户行为提供完全可见度
前图描述Citrix产品与Citrix分析云服务整合通常终端用户使用自己的设备连接Citrix工作空间并访问所需资源服务连接Citrix分析服务客户还可以回溯Citrix虚拟应用和桌面环境与Citrix分析服务通信接通定点资源需要站点汇总或安装在送件控制器上的定点存储器分析代理
Citrix分析服务直接接收数据源日志捕获数据保留数据库达13个月Citrix分析工具使用这些参数通过机器学习平台分析,并可在异常或可疑活动发生时执行动作
Citrix分析器和微软产品集成
当今大多数组织依赖多种安全解决方案组合,包括端点保护、网络防火墙、身份识别、访问控制、云安全等归根结底,它往往增加成本和复杂性并连通多重安全工具与工作流对IT团队构成挑战性任务克服这些挑战整合过程简化Citrix分析集成微软产品帮助统一安全和事件管理,导致简化报告和分析
Citrix分析支持微软++产品整合,包括微软++图安全支持AzureAd身份保护 微软图安全Windows DefenseATP实现微软产品服务 客户一定从Citrix云启动Citrix分析服务更多信息参考链接.
微软图安全允许Citrix分析
微软图安全API提供标准接口和统一模式整合安全报警,解锁上下文信息并简化安全自动化微软图安全汇总多安全提供商数据,包括微软维权aTP、Office365ATP、AzureATP、微软图NETNe、AzureSentinel等
微软图安全API很容易与Citrix分析相联微软图安全源分析服务传输安全提供方数据当前,此解决方案支持微软图安全提供商
- AzureAd身份保护
- Windows维护者aTP
上图描述微软安全图解析法Citrix分析法提高整体分析能力管理员可以清晰洞察用户行为资源使用过程,包括应用软件和终端用户桌面Citrix分析从Azure托管的微软图安全提取数据两种产品都在同一平台上工作,甚至更容易整合
Citrix分析UI提供基于高中低风险评分指标的处理数据基于风险评分,值解析程序能对特定用户执行动作微软图安全向Citrix提供外部信息后,分析管理员可以开始全面了解用户获取资源的情况。
引用 :微软图安全集成
微软主动目录综合分析
组织可连接微软主动目录服务Citrix分析学,提高Citrix分析学用户配置用户剖面图Citrix分析包含导入信息,如用户资料和用户群数据万一风险用户通过Citrix分析识别,输入信息如职称、组织、办公地点、电子邮件和联系细节帮助提高用户配置可见度
安全分析提供监控特权用户功能允许管理员密切监控特权用户行为异常举例说,如果特权用户开始过量删除文件文件夹,机器学习平台检测异常行为并触发报警
引用 :特权用户Citrix解析
前图描述微软主动目录与Citrix分析集成启动管理员服务前,云连接器安装成功整合时,Citrix管理员必须启动Citrix分析UI数据处理,以便他们能监控环境发现的风险并排除故障
深入了解微软主动目录集成性参考链接.
分析学
数不胜数使用案例通过Citrix分析技术在Citrix环境中应用分析服务划分为三大领域
- 安全分析
- 性能分析
- 运算分析
每一提供部分讨论如下:
安全分析
安全分析汇总数据端点安全监控和威胁检测多部署有一套不同的工具,将大多数据集整合进算法中技术改变安全解析包括自适应学习技巧帮助校准检测模型 基础学习逻辑反常检测
Citrix安全分析从多数据源接收数据并显示可操作洞察力机器学习算法安全分析检测并预定义用户行为风险评分指数动态基础为用户行为、端点、网络流量和文件
安全分析支持整合
- Citrix内容协作
- Citrix端点管理
- Citrix安全私用
- Citrix网关
- Citrix虚拟应用和桌面
- 微软图安全
- 微软活动目录
了解更多安全分析参考链接.
用户风险指标
用户风险指标指显示可疑或可能对组织构成安全威胁的用户活动用户风险指标遍及部署中使用的所有Citrix产品信号基于用户行为,当用户行为偏离规范时触发用户风险指标帮助确定用户风险评分
用户风险指标基于以下类别:
- 存取基础
- 数据基础
- Application-based
前图描述用户风险评分指标指标基于用户行为并当用户行为偏离规范时触发
引用 :Citrix用户风险指标
政策和行动
策略定义为执行动作必须满足的一套条件策略包含单条件和一个或多个动作管理员可创建单策略并多动作应用用户账户
Citrix分析策略帮助用户账户执行异常或可疑活动时的行动策略应用后,会立即触发意外事件
如前所述,保单是一套条件风险评分和风险评分变化全局条件应用到特定用户获取特定数据源
引用 :策略性
行动帮助应对可疑事件并防止未来异常事件发生管理员可以对显示异常或可疑行为的用户账户采取行动取决于管理员自动应用或人工应用条件
引用 :动作
性能分析
性能分析工具强力查找终端用户经验问题的根本原因并量化用户经验,应用性能提高用户端对端可见度性能分析支持多站点汇总报告,以便多站点或多源数据统一显示
用户经验评分计算基于延迟性、登录持续时间、重连和故障精确根查度量识别问题登录持续时间包括:中介活动、VM启动、HDX连接、认证、GPOs、Profile加载等
前图显示UX评分编译方式,从终端用户嵌套、登录持续时间、故障和重连中获取信息允许管理员深入钻探寻找用户所经历问题的根本原因性能解析同时面向假设和云基Citrix虚拟应用和桌面环境
了解更多用户经验参考链接.
运算分析
运算分析是一个面向企业分析的更具体术语,侧重于改善现有运算运算分析需要使用各种数据汇总获取更多透明信息日复一日IT服务Citrix基础设施由多产品组成,综合不同组的工作量,管理员需要深入环境多位管理员未能注重Citrix环境的改善和优化
Citrix将运算分析嵌入解析法分析解决方案包含机器学习算法并提供可操作洞见客户Citrix环境操作数据
举例说,企业使用Citrix安全私用服务时,管理员可使用操作仪表板深入了解用户操作和应用操作数据管理员完全可见数据消耗(下载上传)、域存取和数据源显示的其他可用度量这些指标帮助获取和提供资源并快速应对操作问题
换种方式说,运算分析支持机构资源规划思想操作分析汇总信息以加强资源管理主动方法
前图描述运算分析有两个仪表板:
用户运算:提供基于事务和数据用量的用户运算数据概述
App操作:提供app操作数据概览基于域名、类别和下载量
引用 :运算分析
Citrix分析集成
Citrix分析综合与Citrix组件标签为“数据源”。Citrix分析服务支持的下列产品提供Citrix环境用户行为洞察力
- Citrix安全私用
- Citrix内容协作
- Citrix端点管理
- Citrix网关
- Citrix虚拟应用和桌面
本节讨论Citrix解析技术与其他Citrix产品整合
Citrix分析器和Citrix安全私用
Citrix安全私用服务使管理员能提供一致经验,将单点登录、远程访问和内容检验整合为端对端安全私用独有解决办法管理员可以通过过滤访问特定网站和网站类别保护组织网络和终端用户设备不受恶意软件和数据泄漏
Citrix安全私用分析解决方案清晰洞悉用户行为并监控整个网络内建Citrix分析技术使用机器学习帮助采取纠正行动Citrix分析使用相似度量并收集安全私用服务用户活动参数,如访问网站和带宽耗用检测恶意软件和钓鱼网站
前图描述Citrix安全私用集成Citrix分析服务Citrix安全私用分析服务由Citrix云托管数据处理程序管理员少点解分析UI后Citrix分析从安全私取获取数据
安全分析
以下是管理员可创建基于用户活动采取行动的政策
试图访问黑名单URL:允许表示用户何时访问黑名单URL
风险网站存取:此策略表示用户试图访问声望高的恶意、可疑或不安全网站URL名声评分值范围介于1至44最冒险网站和1净网站
异常下载量:用户从程序或网站下载的数据量超过了Citrix分析隐含定义的阈值
异常上传量:用户从a或网站上传数据的数量超过了Citrix分析隐含设定的限值
深入了解Citrix分析集成与Citrix安全私用链接.
Citrix分析与Citrix内容协作
Citrix内容协作使我们能够快速安全交换文件,通过电子邮件发送大量资料,安全处理向第三方转移文件Citrix工作空间环境用户可以从Citrix工作空间应用访问所有文件跟踪用户行为活动累赘小型或大型Citrix环境隐藏威胁很难辨别并采取预防措施
Citrix内容协作使用Citrix解析工具可监控和故障解析Citrix内容协作服务托管Citrix云敏捷与分析服务整合
前图描述Citrix内容协作和Citrix分析服务集成安全分析部分分析服务支持监控和故障排除用户行为和活动
安全分析
以下是管理员可创建以基于用户活动采取行动的政策
文件下载过量:此策略表示此段期间下载数据超出AI基阈值
过量文件/文件夹删除:此策略表示试图删除超出基于AI阈值的文件或文件夹数
过量文件分享: 本策略表示分享链路创建分享超过机器学习算法为此段设定的阈值
过量文件上传: 本策略表示试图上传超过AI基阈值的数据
过量登录故障:用户多次登录失败
Ransomware疑似活动(文件替换):此策略表示努力用加密版本替换现有文件,类似于索要软件攻击
过度访问敏感文件(DLP警告):表示试图访问被认为机密文件多于Citrix内容协作数据预防策略定义的阈值
异常登录访问:该指标启动时用户根据用户使用点和行为模式对分析AI引擎识别的Citrix内容协作账户存取可疑
Ransomware疑似活动(Files更新):此策略表示尝试用加密版本更新现有文件,类似于索要软件攻击
万一Citrix分析服务检测到异常行为或可疑活动,它可以通过禁止用户并过期所有链接保护数据
Citrix分析器和Citrix端点管理
Citrix端点管理是管理端点的解决方案,提供移动设备管理功能和移动应用管理功能端点管理管理员管理设备应用策略并向用户提供应用
通常终端用户会修改设备或安装黑名单应用此类事件触发端点管理环境报警多数时间,它可能被Citrix管理员忽略或可能人工出错
在这种情况下,当管理员管理千端点时,它便成为重负这一过程往往增加多工时管理设备要克服这些问题,Citrix端点管理可与管理员Citrix分析服务合并帮助检测非托管设备,黑名单安装设备检测,对设备应用动作可自动化
前图描述Citrix分析整合Citrix端点管理从分析UI短短点击中,端点管理服务可监控并检测端点上的任何可疑活动droid设备、iOS系统管理或非托管服务启动后,管理员便能清晰地看到设备,如jabroken黑名单应用
安全分析
管理员可创建下列策略并基于设备应用采取行动
黑名单应用检测设备:此策略表示使用Citrix端点管理服务检测网络黑名单应用设备
黑客或嵌入式设备检测:此策略表示使用Citrix端点管理服务检测网络上嵌入或嵌入式设备
非托管设备检测:此策略表示Citrix端点管理服务在网络中发现非托管设备
满足条件后管理员可选择通知管理员和用户管理员也可以锁上设备
Citrix分析器和Citrix网关
Citrix网关服务提供安全远程存取解决方案,并有多种身份存取管理功能网关服务帮助向SaaS应用系统、多样虚拟应用和桌面等提供统一经验
Citrix网关端点分析策略帮助检测UI用户访问威胁和报告类似地,Citrix网关检测所有用户登录故障,可以是初级、二级或三级认证故障同时授权故障不同于Citrix网关
Citrix网关用户登录测试由Citrix分析程序收集完成自动化任务,这对管理员人工操作不切实际。
前图描述Citrix分析综合Citrix网关服务管理员必须启动数据处理工作,以便Citrix分析学从网关服务获取数据
安全分析
管理员可创建下列策略实现监控活动的自动化
授权故障:此策略表示分析AI引擎识别用户在没有足够权限的情况下试图访问资源
EPA扫描故障:此策略显示试图使用设备访问网络,该设备在认证前后失败Citrix网关端点分析扫描
登录故障: 本策略表示分析AI引擎根据用户用法和行为模式识别多重初级认证故障
异常登录访问:本策略建议尝试登录Citrix网关,从偏离用户访问模式的重要地点登录
使用Citrix分析器帮助,当条件中的任何部分裁剪时,管理员就可以对用户采取行动,从分析UI上调出用户标签else管理员可用选择通知管理员来检验用户活动
Citrix分析器和Citrix虚拟应用和桌面
Citrix虚拟应用和桌面虚拟化解决方案提供IT对虚拟机、应用程序、许可和安全的控制,同时提供任何地方访问任何设备的机会。Citrix虚拟应用和桌面允许终端用户独立于设备操作系统与接口运行应用程序和桌面类似地,管理员的长处是管理网络并控制从所选设备或所有设备访问
虚拟应用和桌面框架Citrix分析深入了解用户活动基于用户行为、报警或通知当用户行为偏离正常行为时触发基于应用的风险指标在用户试图访问特定期间未经授权应用时触发基于数据的风险指标生成异常数据上传并大容量下载
前图描述Citrix分析集成基于用户尝试访问资源 设备有无支持操作系统 新设备 报警通知启动内建机学习平台持续向数据库输入最新资料并更新简介未来环境异常点很容易检测并减轻,无需行政干预。
安全分析
管理员可创建下列策略实现监控活动的自动化
潜在数据过滤性:此策略表示试图从Citrix工作空间向外部设备或位置提取数据
从新设备访问:此策略表示尝试从新设备登录Citrix工作空间
存取带不支持OS的设备:此策略表示尝试从带不支持OS版本或非支持浏览器版本的设备访问网络启动接收器
异常应用用法(saaS):此策略表示用户使用实现时间与Citrix分析所识别用户用法和行为模式不同
异常应用用法(虚拟使用法):此策略表示分析AI引擎根据用户用法和行为模式识别大时应用用法
Citrix分析工具可操作用户账户创建策略期间管理员可启动满足条件时的动作
引用 :CVAD风险指数
性能分析
性能分析洞察Citrix环境用户会议细节由Citrix分析收集的数据帮助监控用户登录时产生的问题并解决故障
Citrix性能分析向管理员提供以下度量
用户经验:提供提供深入了解用户和会话性能参数-深入浏览组织内简明仪表板内所有网站用户经验评分有助于根据用户经验即Excellit、Fair或Weak隔离用户
用户类会议:用户经验仪表板用户类会议显示选择周期和网站的一个重要类会议度量管理员可查看 TotalSessions、Total独有用户和Session故障数据
会话响应性:此数据表示ICA圆轮Trip时间信息量化用户经验会话响应性主动会话分类和会话分类趋势万一会议面临网络问题,会时响应趋势数据帮助识别网络中的这类问题
会话登录持续时间:登录持续时间是用户点击Citrix工作空间应用后应用或桌面可用性全登录时间包括相位化、VM启动、HDX连接、验证、剖析加载、登录脚本、GPO和shell启动本节有总登录、会分分类并按交付分组排序
引用 :性能分析
Citrix分析并置Citrix虚拟应用和桌面
多组织使用Citrix虚拟应用和桌面环境可利用Citrix分析云服务Citrix分析支持并自动发现数据源
虚拟应用和桌面网站管理员可选用下列方法中一种方法嵌入虚拟应用和桌面网站Citrix分析
- 上机网站使用工作空间
- 上载网站使用StoreFront
虚拟应用桌面网站使用工作空间
Citrix分析自动发现网站 曾添加到Citrix工作空间虚拟应用桌面网站卡显示发现网站数和用户数Citrix云中网站添加客户需要工作空间订阅管理员必须在Citrix解析程序上登陆前完成网站汇总
管理员必须启动网站卡数据处理Citrix分析器开始接收事件后,可依据选择时间查看所收集的数据策略代理安装配置策略,此步与数据源数据传输无关深入了解策略代理安装链接.
虚拟应用和桌面网站使用StoreFront
StoreFront可成为Citrix分析数据源的另一个方法就是将Citrix虚拟应用和桌面网站应用和桌面汇总成单存储用户用户事件由Citrix分析过程捕捉并获取可操作深入用户行为有几个条件管理员在启动此方法前必须配置网络前端StoreFront部署必须开通TCP端口443环境使用网络代理服务器时,管理员必须允许特定端口通信
Citrix分析服务管理员必须连接到现场StoreFront部署要启用此特征,请导入配置设置令Citrix分析接收StoreFront数据
Citrix虚拟应用和桌面数据源学习更多参考链接.
上载Citrix性能分析
性能分析法综合监控法性能分析帮助监测和观察Citrix虚拟应用和桌面网站在组织中的使用实现这些能力,管理员必须配置定点Citrix分析器特征需要1909主管版或后期提供控制器和VDA1906版或后期
密钥分析效果
Citrix分析服务直觉解析,使管理员能够监控并识别网络上前后不一或可疑活动转包机学习平台提供可操作洞察用户行为依据指标跨用户、端点、网络流量和文件
组织可使用机器学习平台构建解析解决方案解决企业挑战和性能相关问题组织和管理者通过选择CitrixBrownfield部署分析服务或绿地部署实现各种效益
基于用户行为检测和分析威胁监控分析用户访问和认证行为帮助停止恶意活动并防止数据丢失自动化平台帮助ML和AI算法检测出异常
高级解析帮助主动识别问题性能分析提取程序数据 和多项实时性能度量管理员和app所有者可钻入与故障解答问题特殊应用相联的基础设施
强化外部安全Citrix分析生成威胁索引
改善内部安全Citrix分析从多源收集各种数据,环绕用户活动、访问行为以及网络和数据使用模式自动化机学习平台帮助减少异常事件UI信息帮助管理员理解环境活动/事件
中心管理自动化Citrix分析从多资源收集不同度量值,帮助管理员从单UI监控Citrix组合产品
云服务Citrix解析器由Citrix云提供,安全性能和操作仪表板UI为Citrix环境用户风险简介、用户经验细节等提供汇总和分类
摘要
全球安全挑战多不单靠现有传统威胁保护工具解决攻击大都来自外部行为主体 可能保护, 但从周界内攻击 更危险维护外部威胁的同时,许多组织不承认对性能的影响并辨别根本原因
Citrix分析自机学习加人工智能大有希望解决Citrix环境安全挑战Citrix分析并不仅仅关乎Citrix环境安全广度显示用户经验评分和用户运维度显示域访问、数据消耗等Citrix分析整合绿田或Brownfield部署帮助管理员对Citrix环境有更大的控制并降低IT成本
源码
本参考架构的目标是帮助您规划自身实施为使这项工作更容易化,我们想为您提供源图,您可以在自己的详细设计实施指南中适配源图.
引用
参考下列资源加深对Citrix分析学的理解